Vulnérabilités critiques dans Firefox et Thunderbird
Résumé : Plusieurs nouveaux défauts de sécurité ont été identifiés dans le navigateur Firefox et la messagerie Thunderbird. L'exploitation des failles les plus sévères peut permettre à un individu malveillant ou à un virus d'exécuter à distance du code malicieux sur l'ordinateur de sa victime à l'ouverture d'une page web ou d'un courriel piégé.
Logiciels concernés :
Firefox 3.5
Firefox 3.0.11 et versions inférieures
Thunderbird 2.0.0.22 et versions inférieures
Risque :
Critique
Correctif :
Les utilisateurs concernés doivent installer immédiatement la nouvelle version du logiciel (3.0.12/3.5.1 ou supérieure pour Firefox) via le site de l'éditeur ou le correctif correspondant via la fonction de mise à jour ("?" dans la barre de menu puis "Rechercher des mises à jour..."), afin de prévenir toute exploitation malveillante de ces failles :
• Firefox 3.5.1
• Firefox 3.0.12
• Thunderbird 2.0.0.23 (non disponible pour le moment)
En attendant la disponibilité de la nouvelle version de Thunderbird, il est recommandé de désactiver la prise en charge du langage javascript par ce logiciel, afin de limiter les risques d'exploitation malveillante.
NB : les utilisateurs de Firefox 3.5 ayant mis à jour leur navigateur vers la version 3.5.1 à l'occasion de l'alerte du 14/07/09 sont déjà protégés contre l'exploitation de ces nouveaux défauts de sécurité et n'ont rien d'autre à faire.
Informations complémentaires
http://www.mozilla.org/security/announce/
Vulnérabilité critique dans Flash Player, Adobe Reader et autres
Résumé : Un nouveau défaut de sécurité a été identifié dans Adobe Flash, qui affecte notamment Flash Player (plug-in gratuit intégré aux navigateurs web) et Adobe Reader (utilitaire gratuit lecteur de PDF). L'exploitation d'une erreur dans la gestion des fichiers SWF peut permettre à un individu malveillant ou à un virus d'exécuter à distance du code malicieux sur l'ordinateur de sa victime à l'ouverture d'une animation Flash ou d'un document PDF piégé.
Logiciels concernés :
Adobe Flash Player 10.x
Adobe Flash Player 9.x
Adobe Reader 9.x
Adobe Acrobat 9.x
Risque :
Critique
Correctif :
Aucun correctif n'est disponible pour le moment car ce défaut de sécurité a été découvert alors qu'il était déjà exploité de façon malveillante. En attendant la publication des correctifs officiels, les utilisateurs concernés peuvent appliquer les mesures suivantes afin de réduire les risques d'exploitation malveillante :
• se montrer particulièrement vigilant dans son utilisation d'Internet, notamment vis-à-vis des fichiers douteux, des liens hypertextes non sollicités ou des sites web non reconnus comme sûrs (notamment les messages provenant d'un expéditeur inconnu, les cartes postales virtuelles, etc.) ;
• désactiver la prise en charge de Flash dans le navigateur web (menu Outils > Options...) et la prise en charge de Flash par le logiciel Adobe Reader (supprimer ou renommer le fichier C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll ou C:\Program Files\Adobe\Acrobat 9.0]\Acrobat\authplay.dll sous Windows) ;
• désinstaller Flash Player et Adobe Reader ;
• tenir à jour son antivirus.
NB : d'autres logiciels supportant Flash sont susceptibles de présenter le même défaut de sécurité.
INFORMATIONS COMPLEMENTAIRES :
-> Adobe Security bulletin APSA09-03 (en anglais)
Hoax relatif à la donation cancer Rachel (Arlington)
On nous signale qu’un hoax est en circulation en région flamande sous la forme d’une chaîne de messages.
Ce mail commence avec la mention suivante : “ Goeiedag, ik ben een jonge papa van 29 jaar. Mijn vrouw en mezelf …” et concerne une jeune fille atteinte du cancer.
Il s’agit d’une fausse information qui a déjà été lancée en novembre 2001.
Ce hoax existe aussi en français et en anglais.
Vous trouverez plus d’informations aux adresses suivantes :
http://www.virusalert.nl/?show=hoax&id=236 (NL)
http://www.hoaxbuster.com/hoaxliste/hoax_message.php?idArticle=508 (FR)
http://www.breakthechain.org/exclusives/arlington.html (EN)